ASA-2019-00036 – phpMyAdmin: SQL Injection no recurso Designer

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00036

Identificador(es)

ASA-2019-00036, PMASA-2019-2, CVE-2019-6798

Título

SQL Injection no recurso Designer

Fabricante(s)

The phpMyAdmin Project

Produto(s)

phpMyAdmin

Versão(ões) afetada(s)

As versões do phpMyAdmin de 4.5.0 a 4.8.4

Versão(ões) corrigida(s)

phpMyAdmin 4.8.5

Prova de conceito

Desconhecido

Descrição

Foi relatada uma vulnerabilidade em que um nome de usuário especialmente criado pode ser usado para acionar um ataque de SQL injection por meio do recurso de Designer.

Detalhes técnicos

Desconhecido

Créditos

YU-HSIANG HUANG, YUNG-HAO TSENG e Eddie TC CHANG

Referência(s)

phpMyAdmin – Security – PMASA-2019-2
https://www.phpmyadmin.net/security/PMASA-2019-2/

Issue phpmyadmin-security/267 SQL injection in Designer feature
https://github.com/phpmyadmin/phpmyadmin/commit/469934cf7d3bd19a839eb78670590f7511399435

CVE-2019-6798
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6798

CVE-2019-6798
https://nvd.nist.gov/vuln/detail/CVE-2019-6798

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 7 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.